Neues bei der Ereignisablaufverfolgung
In diesem Abschnitt werden die neuen Features beschrieben, die der Ereignisablaufverfolgung für Windows in jedem Release hinzugefügt wurden.
Windows 10, Version 1709
ETW kann jetzt optional Binärdateien für alle Anbieter nachverfolgen, die für die Sitzung aktiviert sind. Die Nachverfolgung gilt rückwirkend für Anbieter, die vor dem Aufruf für die Sitzung aktiviert wurden, sowie für alle zukünftigen Anbieter, die für die Sitzung aktiviert wurden. Sie können jetzt auch die derzeit konfigurierte maximale Anzahl von Systemprotokollen abfragen, die vom Betriebssystem zugelassen wird. Weitere Informationen finden Sie unter den TraceProviderBinaryTracking- und TraceMaxLoggersQuery-Werten der TRACE INFO _ _ CLASS-Enumeration sowie unter Abrufen zusätzlicher Ereignisablaufverfolgungsdaten.
ETW kann jetzt Ereignisse basierend auf dem Ereignisnamen filtern. Sie können auch bestimmen, welche Ereignisse ihre Stapel erfassen. Weitere Informationen finden Sie in den Werten EVENT _ FILTER TYPE EVENT _ _ _ NAME, EVENT FILTER TYPE _ _ _ STACKWALK _ NAME und EVENT FILTER TYPE _ _ _ STACKWALK LEVEL _ _ KW der EVENT FILTER _ _ DESCRIPTOR-Struktur sowie in den zugeordneten EVENT FILTER EVENT _ _ _ NAME- und EVENT FILTER LEVEL _ _ _ KW-Strukturen.
Windows 10
TraceLogging baut auf ETW auf und bietet eine vereinfachte Möglichkeit zum Instrumentieren von Code für native .NET- und WinRT-Entwickler. Mit TraceLogging können Sie strukturierte Daten mit Ereignissen einreihen, Ereignisse korrelieren und benötigen keine separate INSTRUMENTIERUNGsmanifest-XML-Datei.
Anbietermerkmale wurden als Methode zum Anfügen von mehr Daten an eine individuelle Anbieterregistrierung hinzugefügt. Sie können für manifestbasierte anbieter oder TraceLogging-Anbieter verwendet werden. Dies umfasst derzeit unterstützung für das Hinzufügen eines Anbieternamens und/oder einer Anbietergruppe zu einer individuellen Anbieterregistrierung. Anbietergruppen sind ein neues Feature, mit dem mehrere ETW-Anbieter aggregiert durch die Gruppe gesteuert werden können, zu der sie gehören.
Der periodische Erfassungszustand ist eine Möglichkeit, das routinemäßige Senden von Erfassungsstatusbenachrichtigungen an Anbieter zu ermöglichen. Wenn dies aktiviert ist, werden Benachrichtigungen nur an Anbieterregistrierungen gesendet, die zuvor für die aktuelle Sitzung aktiviert wurden. Jeder Anbieter kann eine eigene Antwort (falls eine solche) auf eine Benachrichtigung definieren. Implementierungsdetails finden Sie unter TRACE PERIODIC CAPTURE STATE _ _ _ _ INFO.
Windows 8.1 und Windows Server 2012 R2
Die folgenden Funktionen wurden der Ereignisablaufverfolgung auf Windows 8.1 und Windows Server 2012 R2 hinzugefügt.
Funktionen, die die Verwendung von Ereignisnutzlast-, Bereichs- und Stapel-Walkfiltern unterstützen, die von der EnableTraceEx2-Funktion und den ENABLE TRACE _ _ PARAMETERS- und EVENT FILTER _ _ DESCRIPTOR-Strukturen verwendet werden, um nach bestimmten Bedingungen in einer Protokollierungssitzung zu filtern. Weitere Informationen finden Sie unter
- TdhAggregatePayloadFilters
- TdhCleanupPayloadEventFilterDescriptor
- TdhCreatePayloadFilter
- TdhDeletePayloadFilter
Lesen Sie darüber hinaus die umfassend überarbeitete Dokumentation für die EnableTraceEx2-Funktion und die ENABLE TRACE _ _ PARAMETERS- und EVENT _ _ FILTER-DESCRIPTOR-Strukturen, die von diesen Funktionen verwendet werden.
Eine Struktur, die ein Ereignisnutzlastfilter-Prädikat definiert, das beschreibt, wie nach einem einzelnen Feld in einer Ablaufverfolgungssitzung gefiltert wird, die von der neuen TdhCreatePayloadFilter-Funktion verwendet wird, und eine neue Struktur, die von Ereignis-ID- und Stapel-Walkfiltern verwendet wird. Weitere Informationen finden Sie unter
Funktionen, die Informationen zu Ereignissen abrufen, die im Anbietermanifest vorhanden sind. Weitere Informationen finden Sie unter
Eine -Struktur, die ein Array von Ereignissen in einem Anbietermanifest definiert, das von der neuen TdhEnumerateManifestProviderEvents-Funktion verwendet wird. Weitere Informationen finden Sie unter
Windows 8 und Windows Server 2012
Die folgenden Funktionen wurden der Ereignisablaufverfolgung auf Windows 8 und Windows Server 2012.
Funktionen, die Vorgänge für ein Registrierungsobjekt ausführen, Ereignisnutzlasten-Analyse bereitstellen, Suchvorgänge des Ablaufverfolgungsanbieters bereitstellen, Sitzungseinstellungen für die Ereignisablaufverfolgung abfragen und eine neuprotokollierte Ablaufverfolgungsdatei verarbeiten. Weitere Informationen finden Sie unter
- EventSetInformation
- TdhCloseDecodingHandle
- TdhGetDecodingParameter
- TdhGetWppProperty
- TdhGetWppMessage
- TdhLoadManifestFromBinary
- TdhOpenDecodingHandle
- TdhSetDecodingParameter
- TraceQueryInformation
Schnittstellen, die Informationen zur Neuprotokollierung des Ablaufverfolgungsprozesses und zum Protokollieren von Ereignissen bereitstellen, Zugriff auf Daten für ein bestimmtes Ereignis und Zugriff auf Reloggerfunktionen, die die Bearbeitung von Ereignisablaufverfolgungsprotokolldateien (Event Trace Log, ETL) ermöglichen. Weitere Informationen finden Sie unter
Zusätzliche Enumerationen, die von den neuen Funktionen und Schnittstellen verwendet werden. Weitere Informationen finden Sie unter
Windows 7 und Windows Server 2008 R2
In dieser Version wurden die folgenden Features hinzugefügt:
- Die Fähigkeit von Anbietern, Filter im Manifest zu definieren. In Windows Vista könnten Controller Filterdaten an den Anbieter übergeben. Das Layout der Filterdaten wurde jedoch nicht im Manifest definiert, sodass der Anbieter andere Mittel verwenden muss, um die Filterdefinition controllern zur Verfügung zu stellen. Mit diesem Release können Anbieter die Filterdefinition im Manifest definieren (siehe filter-Attribut des komplexen ProviderType-Typs). Controller können dann die TdhEnumerateProviderFilters-Funktion verwenden, um die Filterdefinition zu bestimmen. Anbieter, die Filter verwenden, sollten die EventWriteEx-Funktion verwenden, um das Ereignis zu schreiben.
- Die Möglichkeit, einen einzelnen Puffer zum Sammeln von Ereignissen zu verwenden, die auf mehreren Prozessoren generiert werden. Die Verwendung eines einzelnen Puffers verhindert, dass Ereignisse auf Computern mit mehreren Prozessoren nicht mehr in der Reihenfolge angezeigt werden. Weitere Informationen finden Sie im Protokollierungsmodus _ EREIGNISVERFOLGUNG _ NEIN PRO _ _ _ PROZESSORPUFFERUNG. Standardmäßig verwendet ETW Puffer pro Prozessor.
- Die Fähigkeit, eine Stapelüberwachung für Ereignisse zu erfassen. Informationen zum Aktivieren der Stapelablaufverfolgung für Kernelereignisse finden Sie in der TraceSetInformation-Funktion. Informationen zum Aktivieren der Stapelablaufverfolgung für Benutzerereignisse finden Sie unter dem EVENT ENABLE PROPERTY STACK _ _ _ _ TRACE-Flag für den EnableProperty-Member von ENABLE TRACE _ _ PARAMETERS.
- Die Möglichkeit, den EVENT _ TRACE _ BUFFERING _ MODE oder DEN EVENT TRACE FILE MODE _ _ _ _ NEWFILE-Protokollierungsmodus mit dem Protokollierungsmodus EVENT TRACE PRIVATE _ _ _ LOGGER _ MODE anzugeben (siehe Protokollierungsmoduskonst constants).
- Die Fähigkeit, einen Anbieter synchron zu aktivieren. Standardmäßig werden Anbieter asynchron aktiviert. Um einen Anbieter synchron zu aktivieren, legen Sie den Timeout-Parameter von EnableTraceEx2 fest.
- Die Fähigkeit des Controllers, den Zustand des Anbieters zu protokollieren. Weitere Informationen finden Sie unter dem FLAG EVENT CONTROL CODE CAPTURE _ _ _ _ STATE für den ControlCode-Parameter von EnableTraceEx2.
- Die Fähigkeit von Consumers, Ereignisdaten mithilfe der TdhFormatProperty-Funktion zu formatieren.
- Die Möglichkeit, manifestierte Ereignisse auf Computern zu decodieren, die den Anbieter nicht enthalten. Weitere Informationen finden Sie in der TdhLoadManifest-Funktion.
In dieser Version wurden die folgenden Funktionen hinzugefügt:
- EnableTraceEx2
- EventWriteEx
- TdhEnumerateProviderFilters
- TdhFormatProperty
- TdhLoadManifest
- TdhUnloadManifest
- TraceSetInformation
In dieser Version wurden die folgenden Strukturen hinzugefügt:
- KLASSISCHE _ _ EREIGNIS-ID
- AKTIVIEREN VON _ ABLAUFVERFOLGUNGSPARAMETERN _
- ABLAUFVERFOLGUNG _ DES ERWEITERTEN _ _ ELEMENTSTAPELS _ FÜR EREIGNISSE32
- ABLAUFVERFOLGUNG _ DES ERWEITERTEN _ _ ELEMENTSTAPELS _ FÜR EREIGNISSE64
- _ _ EREIGNISFILTERHEADER
- _ _ ANBIETERFILTERINFORMATIONEN
Die folgenden Enumerationen wurden in dieser Version hinzugefügt:
Die folgenden MOF-Klassen wurden in dieser Version hinzugefügt: